合规性如何导致安全漏洞:技术标准背后的现实困境

本文深入探讨合规性标准在实际应用中的技术缺陷,分析密码策略过时性、风险评估自动化局限,以及渗透测试在证明真实威胁中的关键作用,揭示单纯合规无法替代真正安全实践的技术本质。

合规性如何导致安全漏洞(或者说,互联网史上最无聊的文章标题……)

约翰·斯特兰德 // 最近有不少文章讨论X或Y合规标准如何被破坏。不幸的是,这常常导致对标准背后无名无姓者的指责。简单地说他们是傻瓜、不适合制定任何计算机安全议程很容易。
傻瓜做傻瓜该做的事。

虽然这可能属实,但背后还有更多原因。进一步来说,如果我们审视这些标准如何被淡化,可以学到很多。基本上,让我们谈谈创建和遵循合规框架时的常见错误。顺便说一句,大部分内容基于帮助一个相对较小的团体尝试在其有限地理区域内为特定行业定义安全标准。我写这篇文章的唯一原因是,他们遇到的许多问题也是我在客户中反复看到的相同问题。http://www.darkreading.com/analytics/hipaa-not-helping-healthcares-software-security-lagging/d/d-id/1322715

行业负担

创建或遵循合规性时的第一个主要 breakdown 是强烈恐惧标准会对相关行业造成过大负担。很久以前,我正在为各种石油公司制定与政府相关的合规标准。这是我第一次遇到这个问题。有很多关于用不必要监督过度负担石油和天然气行业、使整个过程无利可图的 hemming 和 hawing。这比2010年MMS整个丑闻爆发早了好几年。详见伊恩·乌尔比纳的文章。但当时对我来说真正奇怪的是,抱怨过度负担行业的人正是那些开着“ prestige class”租赁车辆参加会议、穿着比我当时一个月工资还贵的衣服的人。这一切到底是为了什么?关键是创建合规要求的人经常受到远比他们强大的人的巨大政治压力。

此外,即使没有 rampant corruption 和 graft,作为人类,我们非常渴望让尽可能多的人快乐。这常常使平庸标准化。我们在这个行业中一次又一次地看到这一点,从七层模块到PCI再到HIPAA。而且,当这种情况发生时,它常常掩盖了合规标准最初试图做的真正含义。例如,许多合规标准意味着一系列指南,并为甚至不知道从哪里开始的组织提供方向。这些东西很快成为核心基线和组织努力达到的最低努力水平。任何超出这些建议的东西通常被视为浪费金钱。

对未知的恐惧

有一种特定的 herd mentality 感染了我们在安全方面所做的一切。这是因为许多人对他们在基础技术层面上所做的事情几乎没有理解。例如,在测试和与客户合作时,我们经常遇到审计员,他们淡化技术风险,因为它不符合他们使用的某些简单合规模型。几年前,我们正在测试一家能源公司,发现大量边缘路由器运行 telnet,用户访问没有身份验证,默认密码将授予设备 enable 或 level 15 访问权限。不用说,这个漏洞将允许我们完全接管他们的网络。然而,当我们向这个客户提供这个漏洞时,他们立即 discount 它,因为运行漏洞扫描器时,它只是找到了 telnet 服务器,并给这个漏洞打了一个低的CVSS分数。客户 hesitant 修复这个问题,因为其他一些“权威”认为风险低于我们提供的。对于违背自动化风险分数,有很多 handwringing。所以,我们演示了如何利用这个漏洞,一旦他们看到了真正的风险,他们立即解决了这个问题。但是,他们必须先看到风险。如果你愿意,把他们的手放在它的侧面。

这也提出了另一点。我认识的许多最好的测试员是审计员,他们厌倦了被要求“证明它”。这就是渗透测试提供的。证明。不是扫描结果。不是自动化风险分数。它是关于移除未知的面纱,带来清晰度。

Pentest challenge accepted.

一切都是未知的

归根结底,今天存在的许多标准没有意义。但为什么?这怎么发生的?事实上,很容易。例如,组织中有大量合规标准要求密码为八个字符或更多。为什么?要回答这个问题,我们需要回到过去。毕竟,我们在2015年,我们有自系鞋带的鞋子和飞行汽车。以这个密码长度为例,真正理解它,我们必须回到1985年。是的,Back to the Future 的 references 很浓。无论如何,NIST Greenbook 发布了,你可以在这里获取:http://csrc.nist.gov/publications/secpubs/rainbow/std002.txt 它参考了几件事。首先,它提到了我们应该使用密码多长时间(大约6个月以上)才更改它们。它还涵盖了那些时间段的密码长度。一个不错的中间数字是八个字符。这都是基于在300波特服务上破解密码需要多长时间,即每分钟8.5次猜测。是的……300波特……看,这就是许多合规错误发生的方式。人们不理解某事,而是依赖前人的先前工作。疯狂向前推进。因为没有人知道更好。

我们不理解的事情似乎很难

在体育中,经常有这些我们认为不可逾越的神秘障碍。比如打破四分钟英里,由班尼斯特在1954年完成。这似乎不可能,但一旦完成,许多人跟随。或者,一个更适用的例子,内部防火墙或互联网白名单。这两种安全方法似乎也不可能。然而,如果我们甚至以 permissive 方式实施它们,我们比简单的AV/黑名单方法安全得多。我们与许多公司合作过,他们不想转向白名单/防火墙一切的方法。然而,一旦他们被入侵,他们的态度迅速改变。一旦他们开始走向更大限制的道路,它似乎并不那么难。

最终,它会变得更好

尽管这似乎像合规 breakdown 的一个漫长痛苦的 breakdown,但它确实会变得更好。我们开始看到组织更感兴趣于做正确的事而不是合规。相信我,我见过。不。真的。别笑了。我见过组织开始授权他们的安全团队做正确的事。他们有适当的预算。他们有安全团队专注于他们的数据而不是检查清单。他们是拥有最高管理层支持的公司。

他们更接近“安全”,因为他们知道安全是一个过程,而不是一个目的地。

但首先它会变得更糟

那很好,不是吗?看起来我们可能以一个快乐的音符结束这篇文章。 不,我们不会。

看,在几乎每个变得更好、远离试图合规、转而走向安全的组织中,他们都被入侵了。他们吸取了教训。他们触摸了煎锅,发现它很热。他们会尽一切努力不再犯同样的错误。我见过一些公司以雇佣来自被烧公司的C-O的形式输入这些教训。但是,在他们过去的某个地方,有一个深黑暗的心理改变经历,让他们了解到仅仅合规是行不通的。我们必须 strive for better。

没有人死去并对他们的网络合规感到平静。 没有人。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次